Друзья, имею сервер zoneminder, с 23 камерами. Планирую ещё десяток другой камер на него нацепить. Сейчас стоит один диск 4ТБ. Модель: WD40EFRX - я так понимаю оно 5400 об/мин?

Когда zoneminder запускает чистку дискового пространства, я имею вот такой УЖАС, при том la, прыгает до 13! iostat:

2014-09-19 16:44:01 Device:         rrqm/s   wrqm/s     r/s     w/s    rkB/s    wkB/s avgrq-sz avgqu-sz   await r_await w_await  svctm  %util
2014-09-19 16:44:01 sda               3,10  2165,30   68,30  564,50   300,00 15356,00    49,48    48,05   76,32   19,81   83,16   1,54  97,36

Когда я просто на него записываю, это выглядит примерно так:

2014-09-19 17:02:33 Device:         rrqm/s   wrqm/s     r/s     w/s    rkB/s    wkB/s avgrq-sz avgqu-sz   await r_await w_await  svctm  %util
2014-09-19 17:02:33 sda               0,80   136,30    1,80   71,30    15,60  5725,20   157,07     0,83   11,29   12,67   11,25   2,27  16,56

Как наиболее дешевле, понизить %util ? Можно-ли поставить в качестве буфера, какую-нибудь SSD? Или быть может купить три диска по 1,5 ТБ, но со скоростями шпинделя 7200 и таким образом размазать %util , объеденив их в RAID0? Поможет мне это?

Куда копать в общем?

Может кто-то использовал SSHD или EnhanceIO?

Всем привет! Давно я не задавал нубических вопросов...

Что-то я туплю, и не могу сообразить, как бы мне сделать вот чего:

Есть два сервера: CentOS , Ubuntu.

На CentOS работает apache (mod_jk) - Раздаёт контент внутрь. На Ubuntu работает apache (mod_jk) - Раздаёт контент на улицу. (Является шлюзом по умолчанию для CentOS)

Задача: когда я делаю работы на CentOS, и внутрь и на улицу хочу раздавать модифицированную 503. Всё раздаётся как надо.

Однако, эта модифицированная 503 содержит некоторые переменные (такие как время недоступности и т.п.) -в js файле. Как бы мне придумать такое, чтобы: когда я останавливал webapp на Centos, у меня переменные для 503 записывались сразу на оба сервера?

Условие: оба сервера не должны никак друг-другу доверять. То есть городить с одного сервера на другой: ssh, rsync - и т.п. не хочется (но можно рассмотреть вариант с sudo на одну команду, если такое возможно...). Поднимать на третьей машине web севрер, и как-то заставлять обе машины обращаться только туда за нужным мне js - тоже не хочется.

Всем привет!

Имею конфигу:

# egrep -v '^(#|$)' /etc/squid3/squid.conf 
auth_param negotiate program /usr/lib/squid3/negotiate_kerberos_auth
auth_param negotiate children 10
auth_param negotiate keep_alive on
auth_param basic program /usr/lib/squid3/basic_ldap_auth -R -b "CN=Users,DC=xxxx,DC=ru" -f sAMAccountName=%s -h xxx -D "CN=reader,CN=Users,DC=xxx,DC=ru" -w xxx
auth_param basic children 5
auth_param basic realm Weclome!
auth_param basic credentialsttl 2 hours
acl auth proxy_auth REQUIRED
acl SSL_ports port 443
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT
http_access deny !auth
http_access allow auth
http_access deny all
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localhost
http_access deny all
http_port 3128
coredump_dir /var/spool/squid3
refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern -i (/cgi-bin/|\?) 0	0%	0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
refresh_pattern .		0	20%	4320

При таком конифге, Linux работает адекватно (firefox)! Если нет kerberos билета, предлагает BASIC AUTH - c ldap. Всё ок. Windows клиенты - не важно, firefox, IE: если нет kerberos билета, выкидывают окно аутотентификации BASIC AUTH - c ldap, при вводе пароля, окно снова вылетает (и так до бесконечности). При том в логе squid такое:

TCP_DENIED/407 4702 GET http://www.google.ru/url? - HIER_NONE/- text/html

Удалось нагуглить, что Windows посылает похоже не только Kerberos, LDAP, но и NTLM запрос. От чего squid сходит с ума... http://serverfault.com/questions/544858/http-proxy-authentication-kerberos-fa... - очень походит на правду.

Что собственно делать в таком случае? Потыкал палочкой: /usr/lib/squid3/ntlm_fake_auth - но это не то, что нужно насколько я понимаю.

Как быть?

# squid3 -v
Squid Cache: Version 3.3.8
Ubuntu
configure options:  '--build=x86_64-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--srcdir=.' '--disable-maintainer-mode' '--disable-dependency-tracking' '--disable-silent-rules' '--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3' '--mandir=/usr/share/man' '--enable-inline' '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd,rock' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-underscores' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth-basic=DB,fake,getpwnam,LDAP,MSNT,MSNT-multi-domain,NCSA,NIS,PAM,POP3,RADIUS,SASL,SMB' '--enable-auth-digest=file,LDAP' '--enable-auth-negotiate=kerberos,wrapper' '--enable-auth-ntlm=fake,smb_lm' '--enable-external-acl-helpers=file_userip,kerberos_ldap_group,LDAP_group,session,SQL_session,unix_group,wbinfo_group' '--enable-url-rewrite-helpers=fake' '--enable-eui' '--enable-esi' '--enable-icmp' '--enable-zph-qos' '--enable-ecap' '--disable-translation' '--with-swapdir=/var/spool/squid3' '--with-logdir=/var/log/squid3' '--with-pidfile=/var/run/squid3.pid' '--with-filedescriptors=65536' '--with-large-files' '--with-default-user=proxy' '--enable-linux-netfilter' 'build_alias=x86_64-linux-gnu' 'CFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wall' 'LDFLAGS=-Wl,-Bsymbolic-functions -fPIE -pie -Wl,-z,relro -Wl,-z,now' 'CPPFLAGS=-D_FORTIFY_SOURCE=2' 'CXXFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security'

Господа, может кто-то знает как максимально быстро и просто заменить стандартное окно аутентификации в браузере при использовании basic http auth: http://i.imgur.com/BbpTavx.png на какую-либо страничку? Но только чтобы не возиться с написанием php страницы и т.п., а чтобы открывалась некая готовая более или менее красивая страница, и она передавала введённые данные в модуль apache? - Что-то подобное вроде видел... Но сейчас не могу найти. :(

Друзья! Есть сервер с ubuntu 14.04

root@gateway:~# ip r
default via 192.168.9.1 dev p2p1 
...
94.247.xx.xx/30 dev p3p2  proto kernel  scope link  src 94.247.xx.xx 
192.168.11.0/24 dev p1p1  proto kernel  scope link  src 192.168.11.1
...

root@gateway:~# iptables -vnL
Chain INPUT (policy ACCEPT 85 packets, 8632 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   20  5568 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            /* Разрешить входящий icmp трафик */
    0     0 ACCEPT     tcp  --  p3p2   *       0.0.0.0/0            0.0.0.0/0            multiport dports 80,443,8443 /* Разрешить входящий web трафик на интерфейсе Второй провайдер */
   27  2522 REJECT     all  --  p3p2   *       0.0.0.0/0            0.0.0.0/0            /* Запретить входящий трафик на интерфейсе Второй провайдер */ reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT 25074 packets, 26M bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 115 packets, 20283 bytes)
 pkts bytes target     prot opt in     out     source               destination 

Вижу, что счётчики DNAT заполняются:

root@gateway:~# iptables -vnL -t nat
Chain PREROUTING (policy ACCEPT 63 packets, 6008 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    13    656 LOG        tcp  --  p3p2   *       0.0.0.0/0            0.0.0.0/0            LOG flags 0 level 4 prefix "videosrv:"
    6     304 DNAT       tcp  --  p3p2   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8443 to:192.168.11.127

Chain INPUT (policy ACCEPT 4 packets, 661 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 1 packets, 72 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 53 packets, 4783 bytes)
 pkts bytes target     prot opt in     out     source               destination  

root@gateway:~# ip a
...
2: p1p1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 10:fe:ed:02:5b:29 brd ff:ff:ff:ff:ff:ff
    inet 192.168.11.1/24 brd 192.168.11.255 scope global p1p1
...
6: p3p2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 10:fe:ed:02:93:40 brd ff:ff:ff:ff:ff:ff
    inet 94.247.xx.xx/30 brd 94.247.xx.xx scope global p3p2
       valid_lft forever preferred_lft forever
    inet6 fe80::12fe:edff:fe02:9340/64 scope link 
       valid_lft forever preferred_lft forever
8: p2p1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    inet 192.168.9.2/24 brd 192.168.9.255 scope global p2p1

telnet 94.247.xx.xx 8443

В логах пакет вижу.

root@gateway:~# tailf /var/log/syslog|grep video
Jul 22 10:29:11 gateway kernel: [1359597.842376] videosrv:IN=p3p2 OUT= MAC=10:fe:ed:02:93:40:00:15:17:28:6a:81:08:00 SRC=194.88.xx.xx DST=94.247.xx.xx LEN=52 TOS=0x00 PREC=0x00 TTL=120 ID=3955 DF PROTO=TCP SPT=58214 DPT=8443 WINDOW=8192 RES=0x00 SYN URGP=0 
...

На выходе интерфейса локальной сети, ничего нету уже:

root@gateway:~# tcpdump -i p1p1 dst host 192.168.11.127 and port 8443
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on p1p1, link-type EN10MB (Ethernet), capture size 65535 bytes
^C
0 packets captured
3 packets received by filter
0 packets dropped by kernel

Что означает: 3 packets received by filter? При 0 packets captured.

Собственно, такое ощущение, что не выполняется DNAT, хотя счётчик то заполняется, и пакеты уходят куда-то в астрал...

server A:

root@ZMTest:~# ls -la /var/lib/mysql/
total 28696
drwx------  5 mysql mysql     4096 Jul 21 15:53 .
drwxr-xr-x 45 root  root      4096 Jul 22 06:42 ..
-rw-r--r--  1 root  root         0 Jun 21 00:15 debian-5.5.flag
-rw-rw----  1 mysql mysql  5242880 Jul 21 16:08 ib_logfile0
-rw-rw----  1 mysql mysql  5242880 Jul 21 15:53 ib_logfile1
-rw-rw----  1 mysql mysql 18874368 Jul 21 16:08 ibdata1
drwx------  2 mysql root      4096 Jun 21 00:15 mysql
-rw-rw----  1 root  root         6 Jun 21 00:15 mysql_upgrade_info
drwx------  2 mysql mysql     4096 Jun 21 00:15 performance_schema
drwx------  2 mysql mysql     4096 Jul  2 23:05 zm

root@ZMTest:~# scp -rp /var/lib/mysql/ root@srv2:/tmp/test

server В:

root@srv2:/tmp/test# ls -la mysql/
total 28696
drwx------ 5 root root     4096 июля  21 15:53 .
drwxr-xr-x 3 root root     4096 июля  22 09:28 ..
-rw-r--r-- 1 root root        0 июня  21 00:15 debian-5.5.flag
-rw-rw---- 1 root root 18874368 июля  21 16:08 ibdata1
-rw-rw---- 1 root root  5242880 июля  21 16:08 ib_logfile0
-rw-rw---- 1 root root  5242880 июля  21 15:53 ib_logfile1
drwx------ 2 root root     4096 июня  21 00:15 mysql
-rw-rw---- 1 root root        6 июня  21 00:15 mysql_upgrade_info
drwx------ 2 root root     4096 июня  21 00:15 performance_schema
drwx------ 2 root root     4096 июля   2 23:05 zm

На сервере B, не важно в какой каталог копирую. Всегда теряю владельца. Что я делаю не так?

Вот команда mount:

server A:

root@ZMTest:~# mount
/dev/mapper/ZMTest--vg-root on / type ext4 (rw,errors=remount-ro)
proc on /proc type proc (rw,noexec,nosuid,nodev)
sysfs on /sys type sysfs (rw,noexec,nosuid,nodev)
none on /sys/fs/cgroup type tmpfs (rw)
none on /sys/fs/fuse/connections type fusectl (rw)
none on /sys/kernel/debug type debugfs (rw)
none on /sys/kernel/security type securityfs (rw)
udev on /dev type devtmpfs (rw,mode=0755)
devpts on /dev/pts type devpts (rw,noexec,nosuid,gid=5,mode=0620)
tmpfs on /run type tmpfs (rw,noexec,nosuid,size=10%,mode=0755)
none on /run/lock type tmpfs (rw,noexec,nosuid,nodev,size=5242880)
none on /run/shm type tmpfs (rw,nosuid,nodev)
none on /run/user type tmpfs (rw,noexec,nosuid,nodev,size=104857600,mode=0755)
none on /sys/fs/pstore type pstore (rw)
/dev/sda1 on /boot type ext2 (rw)
systemd on /sys/fs/cgroup/systemd type cgroup (rw,noexec,nosuid,nodev,none,name=systemd)

server B:

root@srv2:/tmp/test# mount
/dev/sda3 on / type ext4 (rw,errors=remount-ro)
proc on /proc type proc (rw,noexec,nosuid,nodev)
sysfs on /sys type sysfs (rw,noexec,nosuid,nodev)
none on /sys/fs/cgroup type tmpfs (rw)
none on /sys/fs/fuse/connections type fusectl (rw)
none on /sys/kernel/debug type debugfs (rw)
none on /sys/kernel/security type securityfs (rw)
udev on /dev type devtmpfs (rw,mode=0755)
devpts on /dev/pts type devpts (rw,noexec,nosuid,gid=5,mode=0620)
tmpfs on /run type tmpfs (rw,noexec,nosuid,size=10%,mode=0755)
none on /run/lock type tmpfs (rw,noexec,nosuid,nodev,size=5242880)
none on /run/shm type tmpfs (rw,nosuid,nodev)
none on /run/user type tmpfs (rw,noexec,nosuid,nodev,size=104857600,mode=0755)
none on /sys/fs/pstore type pstore (rw)
systemd on /sys/fs/cgroup/systemd type cgroup (rw,noexec,nosuid,nodev,none,name=systemd)

Собственно, я в шоке ... Что делать если я хочу закрыть внутренний http ресурс, обратным https прокси? - Всё получилось, однако когда я попробовал SSO (kerberos), меня ожидало большое разочарование.

Что вообще делают люди в таких ситуациях? Не думал, что проксировать kerberos будет столь не просто...

Краем глаза видел, что для rsync есть некий демон, который помогает делать вот чего:

Демон работает на клиенте, и мониторит какие файлы изменились/добавились/удалились. Потом в нужное время когда запускается rsync, ему не приходится бегать по всей файловой системе, в поисках чего-то новенького, а достаточно просто спросить у этого демона, мол чего у тебя тут нового произошло с моего последнего запуска? - Тот ему говорит, и rsync быстренько всё применяет.

Кто подскажет что за сабж? Это не ionotify в чистом виде, и не fsmon. А что-то своё... Нечто lrsycnd или как то так...

Я на «ваше высочество» с Web технологиями, а по сему не могу развидеть вот чего:

# nginx -V
nginx version: nginx/1.6.0
built by gcc 4.8.2 (Ubuntu 4.8.2-19ubuntu1) 
TLS SNI support enabled

# openssl version 
OpenSSL 1.0.1f 6 Jan 2014

server {
 listen 443 ;
 server_name xxx.company.ru www.xxx.company.ru;
 root /etc/nginx/conf.d/myportal;
 index index.html index.htm;

 ssl on;
 ssl_certificate ...

server {
    listen 443 default_server;
    server_name "";
    return      444;
}

При входе на: https://xxx.company.ru - получаю: «Соединение было прервано». Firefox 30.

Если убираю блок:

server {
    listen 443 default_server;
    server_name "";
    return      444;
}

Всё работает.

Порядок следования блоков важен? Если важен, то как? Если не важен, то почему отрабатывает директива с: return 444? Ведь SNI вроде уже есть... Или надо чего-то ещё шаманить с ним? Или сертификат по особому нужно было покупать?

Ребята, развидте меня...

Вот к примеру смотрю статью: http://www.opennet.ru/tips/info/1179.shtml , ну или подобную ей. Не могу понять вот чего:

Есть машина с двумя интерфейсами от двух провайдеров.

Хотим сделать по схеме: на какой внешний ip пришёл пакет, туда и отдаём...

Почему не достаточно просто этого?

В /etc/iproute2/rt_tables добавляем:
   2 prov2

Затем:

ip r a default via gw-prov2 table prov2

ip ru a from ext-ip-prov2 table prov2

Всё. Старый маршрут по-умолчанию (через первого провайдера) как был так и остаётся... Зачем они создают две таблицы для двух провайдеров? Если задача: ответить на тот интерфейс на который пришёл пакет. Если придёт пакет на первый интерфейс, то и ответ на него улетит через обычный default gw. Если пакет пришёл на второй, то и ответ улетит через gw-prov2.

Зачем они зеркально для двух провайдеров создают таблицы?

P.S. на практике пока вышенаписанное не пробовал. Но хочу понять, зачем так...

Всем привет! Вразумите, а?!

Есть один внешний ip, хочу повесить на него несколько вирт. доменов.

Хочу проксировать эти вирт. домены обратным прокси на nginx.

Хочу сделать общий robots.txt - для всех.

И вот что-то меня склинило... А собственно, ОТКУДА поисковые системы узнают о моих виртуальных доменах, если не постить нигде в Интернет ссылки на них..?

subj.

Всем привет.

Опишу ситуацию. Быть может вы меня направите.

Имеется корпоративная почта, на 150 чел., но с достаточно большим объёмом ящиков (от 1 до 15 гб) - в итоге сотни гигабайт (хоть там и мусора много, и одного и того же, но разбираться с этим никто не будет), а канал у нас не очень широкий. По сему переносить её на «почту для домена», от каких-нибудь ребят вроде Яндекс/мейл/гугл - не очень хочется, да и в случае чего - до них даже не дописаться толком насколько я понимаю... Да и вообще - возьмут и закроют завтра... Да и хочется более тесной интеграции с LDAP и прочими корпоративными сервисами. Всё это добро крутится на zimbra 8.

Однако, возникает вот какая проблема...

К примеру, у меня сотрудник ведёт переписку с некой контрой которая находится зарубежом. Контора не очень большая, и переодически эта контора попадает частью своих ip или всем скопом в RBL, после чего, часть писем, или полностью переписка прекращается... - Что ВЕСЬМА неприятно... Ведь это происходит без предупреждения. Человек ждёт письма, а там - пусто... Он чуя что-то неладное, звонит, а на той стороне говорят - а мы мол попробовали отправить, получили какую-то ошибку (zimbra отсылает по-умолчанию отправителю отчёт о том, что он заблокирован в RBL), и забили болт... - В итоге начинаются танцы с бубном вокруг этой нелепой проблемы.

Хочу воспользоваться: check_client_access опцией. Однако, очевидно, что каждый сотрудник не будет вести эти списки руками (даже если это я сделаю через web интерфейс - зачатки такой возможности в общем то есть в zimbra, надо просто подпилить). Это считай надо будет «на всякий случай» добавить каждого респондента... - Этим явно не будет никто заниматься.

По сему, я думаю, а может можно сделать так, чтобы: брался лог zimbra, из него вытягивались все те email на которые мы пишем, и эти email складывались и маппились в postfix в качестве check_client_access хеша? То есть, человек однажды нам дописался. Получил ответ - и попал в белый список. Таким образом, если он будет в RBL через неделю/месяц - он всё равно к нам пролезет.

Может кто-то подскажет мне по сабжу? Может кто-то решал аналогичные задачи? Может можно как-то по-другому сделать?

Ладно, в этом «багульнике», они придумали именовать имена интерфейсов основываясь на biosname ( http://www.freedesktop.org/wiki/Software/systemd/PredictableNetworkInterfaceN... )... Ладно они даже сделали это через жопу... - А именно, привет systemd. Имена путаются местами, и этот баг официально подтверждён... Лечится отключением этой функции systemd и возврату к udev правилам.

Чёрт с ним, что если оно стоит на lvm вылетает вот такой багульник: https://bugs.launchpad.net/ubuntu/ source/grub2/ bug/1274320

Это-ж вообще эпик...

Ну я бы всё понял, НО..! КАК МНЕ РАЗВИДЕТЬ ВОТ ЭТО:

host A:

ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 90:2b:34:d7:83:b9 brd ff:ff:ff:ff:ff:ff
    inet 192.168.11.43/24 brd 192.168.11.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet 192.168.94.1/24 brd 192.168.94.255 scope global eth0:0
       valid_lft forever preferred_lft forever
    inet6 fe80::922b:34ff:fed7:83b9/64 scope link 
       valid_lft forever preferred_lft forever

host B (Ubuntu 14.04 server):

ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: p1p1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 10:fe:ed:02:5b:29 brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.222/24 brd 192.168.2.255 scope global p1p1
       valid_lft forever preferred_lft forever
    inet6 fe80::12fe:edff:fe02:5b29/64 scope link 
       valid_lft forever preferred_lft forever
3: p1p2: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
    link/ether 10:fe:ed:02:a7:91 brd ff:ff:ff:ff:ff:ff
    inet 192.168.9.2/24 brd 192.168.9.255 scope global p1p2
       valid_lft forever preferred_lft forever
4: p2p1: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
    link/ether 94:de:80:aa:87:9b brd ff:ff:ff:ff:ff:ff
    inet 192.168.94.2/24 brd 192.168.94.255 scope global p2p1
       valid_lft forever preferred_lft forever
5: p1p3: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
    link/ether 10:fe:ed:02:be:52 brd ff:ff:ff:ff:ff:ff
6: p3p1: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
    link/ether c0:4a:00:00:ad:f1 brd ff:ff:ff:ff:ff:ff
7: p3p2: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
    link/ether 10:fe:ed:02:93:40 brd ff:ff:ff:ff:ff:ff
8: p4p1: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
    link/ether 10:fe:ed:02:9f:ef brd ff:ff:ff:ff:ff:ff

АДАПТЕР: p2p1 ВЫКЛЮЧЕН! - state DOWN (т.е. в него кабель не вставлен даже...).

С host А делаю:

ping 192.168.94.2 -c 3 ; arp -a |grep 192.168.94.2 ; tracepath 192.168.94.2
PING 192.168.94.2 (192.168.94.2) 56(84) bytes of data.
64 bytes from 192.168.94.2: icmp_seq=1 ttl=63 time=0.296 ms
64 bytes from 192.168.94.2: icmp_seq=2 ttl=63 time=0.290 ms
64 bytes from 192.168.94.2: icmp_seq=3 ttl=63 time=0.334 ms

--- 192.168.94.2 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 1998ms
rtt min/avg/max/mdev = 0.290/0.306/0.334/0.028 ms
? (192.168.94.2) в 10:fe:ed:02:5b:29 [ether] на eth0
 1?: [LOCALHOST]                                         pmtu 1500
 1:  192.168.94.2                                          1.150ms reached
 1:  192.168.94.2                                          1.182ms reached
     Resume: pmtu 1500 hops 1 back 2 

КАК ТАКОЕ ВОЗМОЖНО? Обратите внимане на MAC адрес...

P.S. от форвардинга пакетов - это не зависит... Я ничего не понимаю ребят...

Пойду смотреть, не включен ли часом какой-нибудь «неразборчивый режим» на сетевой по-умолчанию...

Подробное описание: Мы ищем коллегу, который сможет разрабатывать приложения на JavaScript. У нас есть задачи по внедрению различных «кастомных решений» и различных интеграций уже готовых решений.

Вам предстоит участвовать в разработках решений, которые будут взаимодействовать с системами ERP (SAP), ECM (Alfresco), Zimbra Collaboration.

Будет очень существенным плюсом, если Вы знаете Java и популярные frameworks (Spring, Hibernate и т.п.) , и представляете что такое Alfresco. А также умеете работать в Unix окружении, и понимаете как работают СУБД (например, MySQL).

Мы предгалаем: Работу в пос. Быково Московской области ул. Верхняя д. 30 (Пн-Пт: 9:00-17:30).

УДАЛЁННАЯ РАБОТА НА НАЧАЛЬНОМ ЭТАПЕ НЕВОЗМОЖНА! Потом возможна частичная удалёнка! - В целом так или иначе всё обсуждаемо.

Оклад: 60 тыс и выше, по результатам собеседования. Заработная плата официальная.

Отдых от работы в официальные праздники.

Заработную плату, которая будет выплачиваться вовремя.

Тринадцатую зарплату.

Новогодний корпоратив.

Частичная компенсация обеда.

Оплачиваемый отпуск (28 дней) и больничный лист.

Адекватный коллектив.

Требования к кандидату:

Гражданство РФ.

Военный билет.

Умение самостоятельно разбираться в полностью англоязычной документации.

Мы предполагаем, что наш коллега будет разбираться JavaScript (server side/client side).

Умеет работать с различными JavaScript frameworks и IDE (Eclipse). У нас потребуется знание библиотеки: Dojo или знание библиотек: Yahoo UI , Yahoo!'s Mojito, Yahoo! Manhattan.

Опыт работы с Web server Tomcat в Linux окружении.

Умение работать с системой контроля версий git (github).

Желание работать в команде с системными администраторами, java и ABAP программистами.

Контакты: Пишите СТРОГО на почту: VGusev2007@yandex.ru , в теме письма ОБЯЗАТЕЛЬНО укажите слово РАБОТА. Так мне будет легче просматривать Ваши резюме, и я точно никого не забуду и не потеряю.

Привет ЛОР! Есть подозрение, что поломали старый apache (работал на шлюзе), и через мой шлюз посылают спам (второй раз попал в CBL).

Чтобы всё подтвердить, хотелось-бы: запретить со шлюза ходить на 25 порт. Но при этом чтобы транзитный трафик с моего почтового сервера ходил на 25 порт успешно (через NAT).

Сейчас у меня две машинки в сети которые могут ходить на 25 порт. Это: mail сервер, и сам шлюз. В mail сервере ничего не нашёл подозрительного. Остаётся шлюз.

Кстати, а через порт: 587 спам может рассылаться? Вроде как не должен.

Кто может подсказать как в pf разрешить NAT на 25 порт, но, при этом запретить локально сгенерированный трафик на 25 порт?

P.S. FreeBSD 7

Всем привет!

Подскажите как добиться следующего:

Хочу: поднять SSID в режиме WPA2-Ent.

Как будет правильнее всего сделать?

В идеале хочу как можно меньшего геммороя, а именно:

WPA2-Ent - FreeRadius - LDAP

При этом хочется минимум настроек со стороны клиента. То есть, хочу аутотентифицироваться по группе в LDAP.

Какую схему выбрать? EAP-TLS или EAP-PEAP?

Если я правильно понял, то EAP-TLS, мне не подходит, т.к. надо будет не через LDAP ходить, а делать для каждого сертификаты и ключи, и устанавливать в клиента. EAP-PEAP - вроде я так понял во всех клиентах (Win Linux IPhone) - можно подключаться не имея сертификатов сервера вообще. - Это мне наиболее подходит, но вопрос такой: что будет если школьник поднимит точку с аналогичным <SSID name> в режиме WPA2-Ent - если мои клиенты будут к нему приходить не обращая внимание на отсутствие сертификата сервера - он сможет мои пароли проснифать таким образом? Как клиент передаёт пароль используя: EAP-PEAP в открытом виде или нет?

Можно ли сделать так: выбрать скажем EAP-PEAP + установить в каждого клиента некий самоподписный сертификат сервера и тогда клиенты бы без лишней ругани и вопросов приходили бы на FreeRadius, а он в свою очередь бы ходил уже в LDAP.

Или может можно купить сертификат в каком-нибудь CA, чтобы не устанавливать ничего на клиентскую сторону, и в тоже время клиент знал, что он пришёл куда надо, а не на точку доступа школьника?

Как вообще правильно делают?

linux mint 17 cinnamon

Представим себе задачу: мне нужно из браузера скопировать команды в терминал. Как можно удобно переключаться между этими двумя окнами? К примеру сейчас у меня открыто десять окон: консоль, браузер, чат, skype, файловый менеджер и т.д.

Я работаю в консоли, нажимаю alt+tab и попадаю в браузер. Хочу что-то скопировать в терминал, нажимаю alt+tab, а оно мне вместо того, чтобы открыть предыдущее окно, начинает по кругу гонять: чат, skype, файловый менеджер и т.д. и только потом открывает консоль. - Ужас же... Мне надо неделю потратить, чтобы снова прийти в терминал.

Хочу умного поведения alt+tab, чтобы первое окно которое он бы предлагал - было предыдущее активное.

Всё это в icewm работает как нужно.

Добрый день ребята!

Не понял, зачем и отчего столь странно и не удобно сделано.

Суть: есть по-умолчанию в linux mint 17 cinnamon, два рабочих стола, которые переключаются клавишами: Ctrl+Alt+-> , так вот, почему это не закольцовано? То есть чтобы переключиться на второй стол, мне надо нажимать: Ctrl+Alt+-> , а чтобы вернуться обратно, надо нажимать: Ctrl+Alt+<- - то есть мне приходится помнить, на каком я столе, сейчас на левом или на правом. Есть ли способ закольцевать переключения? Чтобы нажатие: Ctrl+Alt+-> гоняло все мои столы по кругу?

Решение: установить dconf, установить значение параметра: workspace-cycle в единичку.

Перезапуск не требуется.

Снимок: http://dl.dropbox.com/u/20100592/Редактор dconf_001.jpg

Вакансия: Помощник системного администратора / ст. инженер ИТ (ООО \«АВТОР\»)

Зарплата: 40000.

Подробное описание:

Мы ищем ответственного и терпеливого коллегу который сможет оказывать поддержку нашим пользователям (100 человек) в следующих вопросах: настройка Windows и прикладного ПО. Настройка и сопровождение программ: 1С, Word, Exel, клиент-банк и другого прикладного ПО, используемого в компании. Заведение, удаление сотрудников (телефон, почта и т.п.). Помощь в сопровождении компьютерной сети предприятия, закупки орг. техники и т. п. Также необходимо поддерживать ряд промышленных компьютеров на производственных линиях.

Будет очень здорово если Вы знаете следующие слова: Windows, 1C, Linux, dhcp, wi-fi, dns, видеонаблюдение, smtp, http, imap, ip, СКУД, VPN. - Если какие-то слова Вам не знакомы, мы расскажем Вам их значение.

Вам не придётся прокладывать кабель ЛВС, заправлять картриджи для принтеров и заниматься прочей грязного рода работой.

О компании:

ООО «АВТОР» существует давно (около 20 лет). Мы обслуживаем стабильное предприятие по производству упаковки. Работа не разъездная, в офисе.

Мы предгалаем:

Работу в пос. Быково Московской области ул. Верхняя д. 30 (Пн-Пт: 9-17.30).
Оклад: 40 тыс. Заработная плата белая (до налогов) + премии. В итоге будет 40,000 руб.
Отдых от работы в официальные праздники.
Заработную плату которая будет выплачиваться вовремя.
Тринадцатую зарплату.
Частичную компенсацию обедов.
Новогодний корпоратив.
Оплачиваемый отпуск (28 дней) и больничный лист.
Адекватный молодой коллектив (27 лет, 2 человека) + тёплый, ламповый начальник отдела ИТ.

Требования к кандидату:

Гражданство РФ.

Вежливость и терпеливость.

Базовый английский.

Мы предполагаем, что наш коллега будет разбираться в Windows на уровне: реестр Windows, служба печати, драйвера и т. п. , будет разбираться в современных сокетах, железе, и т. п. Коллега НЕ будет лениться, и у него будет желание учиться чему-то новому (у нас широкий спектр ИТ технологий например: 1С, zimbra, bind, isc-dhcpd, openvpn, HP-UX, FreeBSD, Windows, samba, LDAP, этикеточные принтера, Timex и т. д.). Мы нежно любим и всячески ласкаем OpenSource технологии. Так же мы предполагаем, что наш коллега будет готов работать с отвёрткой, и не будет бояться разбирать/собирать/менять платы в компьютерах и смежном оборудовании: источники бесперебойного питания, промышленные компьютеры и т.д. Так же мы очень надеемся, что у нашего коллеги не будет вредных привычек. И он будет готов не на словах, а на деле решать проблемы наших пользователей. К сожалению нам не подойдёт учащийся дневного отделения, или человек который не имел опыта работы в аналогичной должности.

Контакты:

Пишите СТРОГО на почту: VGusev2007@yandex.ru , в теме письма ОБЯЗАТЕЛЬНО укажите слово РАБОТА. Так мне будет легче просматривать Ваши резюме, и я точно никого не забуду и не потеряю.

P.S. Linux тут при том, что мы используем его на севрерах, и обучим человека который мало его знает, но хочет познакомиться поближе в процессе своей работы. Так же мы частично используем Linux на рабочих станциях и на производственных линиях!

Привет всем!

Подскажите, не могу никак понять... Такое ощущение, что сабж не возможен... Или может и возможен, но с /boot вне mdadm.

В общем ничего не пойму.

Задача: поставить ubuntu на mdadm raid1 - / , на железо которое поддерживает uefi boot.

Пробовал различные ухищрения и комбинации.

Результат плачевный, или установщик ubuntu ставит grub-pc, или получаю консоль grub, или мигающий курсор - и пустоту в efi разделе.

Кто-то пробовал сабж?